Microsoft detects massive surge in Linux XorDDoS malware activity Linux 장치를 해킹하고 DDoS 봇넷을 구축하는 은밀한 모듈식 악성코드가 지난 6개월 동안 활동이 254%나 증가한 것으로 나타났습니다. 최소 2014년 이후로 활동을 시작한 이 악성코드는 명령 및 제어(C2) 서버와의 통신에 XOR 기반 암호화를 사용하고 DDoS 공격에 사용되어 XorDDoS(또는 XOR DDoS)로 알려져 있습니다. 마이크로소프트는 해당 봇넷이 성공한 이유에 대해 은밀하고 제거하기 어려운 상태를 유지하는 다양한 회피 및 지속 전술을 폭넓게 사용하기 때문일 것이라 밝혔습니다. 마이크로소프트의 365 Defender Research Team은 아래와 같이 밝혔습니다...

국내외 보안동향 2022. 5. 20. 09:00

Microsoft warns of attacks targeting MSSQL servers using the tool sqlps 마이크로소프트가 MSSQL 서버를 노린 새로운 해킹 캠페인에 대해 경고했습니다. 공격자들이 적절히 보호되지 않는 인스턴스에 브루트포싱 공격을 시작한 것으로 나타났습니다. 이 공격은 일종의 SQL Server PowerShell 파일이자 합법적인 툴인 sqlps.exe를 자급자족형 바이너리(LOLBin)로 사용합니다. 마이크로소프트는 트위터를 통해 해당 공격에 대해 경고했지만, 공격자를 특정하지는 않았습니다. sqlps.exe 유틸리티는 마이크로소프트에서 SQL 빌드 cmdlet을 실행하기 위한 PowerShell 래퍼라 설명할 수 있습니다. 또한 공격자는 sqlps.exe를 통..

국내외 보안동향 2022. 5. 19. 14:00

DHS orders federal agencies to patch VMware bugs within 5 days 국토안보부의 사이버 보안 부서가 FCEB(Federal Civilian Executive Branch) 기관에 VMWare 관련 위협이 증가해 월요일까지 네트워크에서 VMware 제품을 업데이트하거나 제거할 것을 명령했습니다. CISA는 지난 수요일 VMware가 여러 제품에 존재하는 새로운 인증 우회 및 로컬 권한 상승 취약점(CVE-2022-22972, CVE-2022-22973)을 패치한 후 긴급 지침 22-03을 발표했습니다. 지난 4월에 VMware는 VMware Workspace ONE Access 및 VMware Identity Manager의 원격 코드 실행 취약점(CVE-202..

국내외 보안동향 2022. 5. 19. 09:00

Over 200 Apps on Play Store were distributing Facestealer info-stealer Trend Micro의 연구원들이 플레이 스토어에서 안드로이드 앱 200개 이상을 통해 감염된 안드로이드 기기에서 민감 데이터를 훔치는 스파이웨어인 Facestealer가 배포되는 것을 발견했습니다. 해당 악성 앱은 크리덴셜, 페이스북 쿠키, 기타 개인 식별 정보 등을 탈취합니다. 전문가들이 발견한 악성 앱 중 일부는 수십만 회 이상 설치되었습니다. Facestealer 스파이웨어는 2021년 7월 Dr. Web 연구원에 의해 처음으로 발견되었으며 해당 악성코드의 개발 팀은 코드를 빈번히 업데이트했습니다. 악성 앱의 대부분은 VPN 소프트웨어(42개), 카메라(20개), 사진 편..

국내외 보안동향 2022. 5. 18. 14:00

최근 OpenSSL은 여러개의 보안 취약점을 패치하였습니다. OpenSSL 서비스 거부 취약점(CVE-2022-1473) 해시테이블을 비우는 OPENSSL_LH_flush() 함수에는 제거된 해시 테이블이 차지하는 메모리 재사용을 중단하는 버그가 포함되어 있습니다. 이 기능은 인증서 또는 키를 디코딩할때 사용되며, 수명이 긴 프로세스가 인증서 또는 키를 주기적으로 디코딩 하는 경우, 메모리 사용량이 제한 없이 확장되며 프로세스가 운영체제에 의해 종료되어 서비스 거부가 발생할 수 있습니다. OpenSSL 비밀번호 오류 취약점(CVE-2022-1434) RC4-MD5 ciphersuite의 OpenSSL 3.0 구현은 AAD 데이터를 MAC키로 잘못 사용하여 MAC키를 쉽게 예측할 수 있게 됩니다. 해당 취..

국내외 보안동향 2022. 5. 18. 10:44

New Sysrv Botnet Variant Hijacking Windows and Linux with Crypto Miners 마이크로소프트가 윈도우 및 리눅스 시스템에 코인 마이너를 설치하기 위해 웹 애플리케이션 및 데이터베이스의 보안 취약점 다수를 악용하는 새로운 srv 봇넷 변종에 대해 경고했습니다. 새 버전은 Sysrv-K라 명명되었으며, 이는 웹 서버를 제어하기 위해 일련의 익스플로잇을 무기화합니다. 이 크립토재킹 봇넷은 2020년 12월 처음으로 등장했습니다. 마이크로소프트는 트위터를 통해 아래와 같이 밝혔습니다. "Sysrv-K는 인터넷을 스캔해 다양한 취약점이 존재하는 웹 서버를 찾아 자기 자신을 스스로 설치합니다.” "취약점은 경로 탐색, 원격 파일 유출, 임의 파일 다운로드, 원격 코..

국내외 보안동향 2022. 5. 18. 09:00

Apple emergency update fixes zero-day used to hack Macs, Watches 애플이 공격자가 Mac 및 애플 워치를 노린 공격에 악용할 수 있는 제로데이 취약점을 수정하기 위한 보안 업데이트를 공개했습니다. 제로데이는 아직까지 패치되지 않은 보안 취약점을 말합니다. 경우에 따라, 이러한 유형의 취약점은 패치가 준비 되기 전 공개적으로 사용 가능한 PoC 익스플로잇이 있거나 실제 공격에서 활발히 악용될 수 있습니다. 애플은 지난 월요일 보안 권고를 발표해 이 보안 취약점이 "적극적으로 악용되었을 수 있다"는 제보를 받았다고 밝혔습니다. 이 취약점은 앱이 커널 권한으로 임의의 코드를 실행할 수 있도록 하는 AppleAVD(오디오 및 비디오 디코딩용 커널 확장)의 범위를..

국내외 보안동향 2022. 5. 17. 14:00

CISA warns not to install May Windows updates on domain controllers 윈도우의 보안 취약점을 패치하는 2022년 5월 업데이트로 인해 활성 디렉터리(AD) 인증 문제가 발생해 미 CISA가 악용된 취약점 카탈로그에서 해당 윈도우 보안 취약점을 제거했습니다. 이 보안 취약점은 CVE-2022-26925로 등록되었으며 활발히 악용되는 윈도우 LSA 스푸핑 제로데이 취약점으로, 새로운 PetitPotam의 윈도우 NTLM 릴레이 공격 벡터로 확인되었습니다. 인증되지 않은 공격자는 CVE-2022-26925를 악용하여 도메인 컨트롤러가 윈도우 NTLM(NT LAN Manager) 보안 프로토콜을 통해 원격으로 인증하고 전체 윈도우 도메인을 제어할 수 있습니다...

국내외 보안동향 2022. 5. 17. 09:00